Η AVG θέτει σε κίνδυνο εκατομμύρια χρήστες Chrome

• Κατηγορία: Ασφάλεια

Δοκιμάστε Το Όργανο Μας Για Την Εξάλειψη Των Προβλημάτων

Επιλέξτε Το Λειτουργικό Σύστημα Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Επιλέξτε Ένα Πρόγραμμα Προβολής (Προαιρετικά) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Περιγράψτε Το Πρόβλημά Σας

Λάβετε Μια Απάντηση

Στείλτε Μου Μέσω Email Εμφάνιση Στον Ιστότοπο

Η εταιρεία ασφάλειας AVG, γνωστή για τα δωρεάν και εμπορικά προϊόντα ασφαλείας της που προσφέρουν ένα ευρύ φάσμα διασφαλίσεων και υπηρεσιών που σχετίζονται με την ασφάλεια, έθεσε σε κίνδυνο εκατομμύρια χρήστες Chrome πρόσφατα, παραβιάζοντας την ασφάλεια του Chrome με έναν θεμελιώδη τρόπο σε μία από τις επεκτάσεις της για τον Ιστό πρόγραμμα περιήγησης.

Η AVG, όπως πολλές άλλες εταιρείες ασφαλείας που προσφέρουν δωρεάν προϊόντα, χρησιμοποιεί διαφορετικές στρατηγικές δημιουργίας εσόδων για να κερδίσει έσοδα από τις δωρεάν προσφορές της.

Ένα μέρος της εξίσωσης είναι οι πελάτες να κάνουν αναβάθμιση σε πληρωμένες εκδόσεις του AVG και για λίγο, αυτός ήταν ο μόνος τρόπος που λειτουργούσαν τα πράγματα για εταιρείες όπως η AVG.

Η δωρεάν έκδοση λειτουργεί από μόνη της, αλλά χρησιμοποιείται για να διαφημίσει την πληρωμένη έκδοση που προσφέρει προηγμένες λειτουργίες, όπως anti-spam ή βελτιωμένο τείχος προστασίας.

Οι εταιρείες ασφαλείας άρχισαν να προσθέτουν άλλες ροές εσόδων στις δωρεάν προσφορές τους, και μια από τις πιο εξέχουσες πρόσφατα αφορούσε τη δημιουργία επεκτάσεων προγράμματος περιήγησης και τον χειρισμό της προεπιλεγμένης μηχανής αναζήτησης του προγράμματος περιήγησης, της αρχικής σελίδας και της νέας σελίδας καρτελών που ταιριάζει με αυτήν .

Οι πελάτες που εγκαθιστούν λογισμικό AVG στον υπολογιστή τους λαμβάνουν τέλος μια ερώτηση για την προστασία των προγραμμάτων περιήγησής τους. Ένα κλικ στο ok στην εγκατάσταση διεπαφής AVG Web TuneUp σε συμβατά προγράμματα περιήγησης με ελάχιστη αλληλεπίδραση χρήστη.

Η επέκταση έχει περισσότερους από 8 εκατομμύρια χρήστες σύμφωνα με το Chrome Web Store (σύμφωνα με τα στατιστικά στοιχεία της Google σχεδόν εννέα εκατομμύρια).

Με αυτόν τον τρόπο αλλάζει η αρχική σελίδα, η νέα καρτέλα και ο προεπιλεγμένος πάροχος αναζήτησης στο πρόγραμμα περιήγησης ιστού Chrome και Firefox εάν είναι εγκατεστημένες στο σύστημα.

Η επέκταση που εγκαθίσταται απαιτεί οκτώ άδειες, συμπεριλαμβανομένης της άδειας «ανάγνωσης και αλλαγής όλων των δεδομένων σε όλους τους ιστότοπους», «mange λήψεων», «επικοινωνία με συνεργαζόμενες εγγενείς εφαρμογές», «διαχείριση εφαρμογών, επεκτάσεων και θεμάτων» και αλλαγή της αρχικής σελίδας, αναζήτηση ρυθμίσεων και αρχική σελίδα σε μια προσαρμοσμένη σελίδα αναζήτησης AVG.

Το Chrome παρατηρεί τις αλλαγές και θα ζητήσει από τους χρήστες που προσφέρουν να επαναφέρουν τις ρυθμίσεις στις προηγούμενες τιμές τους, εάν οι αλλαγές που έγιναν από την επέκταση δεν είχαν σκοπό.

Αρκετά προβλήματα προκύπτουν από την εγκατάσταση της επέκτασης, για παράδειγμα ότι αλλάζει τη ρύθμιση εκκίνησης σε «άνοιγμα συγκεκριμένης σελίδας» αγνοώντας την επιλογή των χρηστών (για παράδειγμα για να συνεχίσει την τελευταία συνεδρία).

Εάν αυτό δεν είναι αρκετά κακό, είναι αρκετά δύσκολο να τροποποιήσετε τις τροποποιημένες ρυθμίσεις χωρίς να απενεργοποιήσετε την επέκταση. Εάν ελέγξετε τις ρυθμίσεις του Chrome μετά την εγκατάσταση και την ενεργοποίηση του AVG Web TuneUp, θα παρατηρήσετε ότι δεν μπορείτε πλέον να τροποποιήσετε την αρχική σελίδα, τις παραμέτρους εκκίνησης ή τους παρόχους αναζήτησης.

Ο κύριος λόγος για τον οποίο γίνονται αυτές οι αλλαγές είναι τα χρήματα και όχι η ασφάλεια των χρηστών. Το AVG κερδίζει όταν οι χρήστες πραγματοποιούν αναζητήσεις και κάνουν κλικ σε διαφημίσεις στην προσαρμοσμένη μηχανή αναζήτησης που έχουν δημιουργήσει.

Εάν προσθέσετε Σε αυτό το γεγονός ότι η εταιρεία ανακοίνωσε πρόσφατα σε μια ενημέρωση πολιτικής απορρήτου ότι θα συλλέξει και θα πουλήσει - μη αναγνωρίσιμα - δεδομένα χρήστη σε τρίτους, καταλήγετε με ένα τρομακτικό προϊόν από μόνο του.

Θέμα ασφαλείας

Ένας υπάλληλος της Google κατατεθεί μια αναφορά σφάλματος στις 15 Δεκεμβρίου που ανέφερε ότι το AVG Web TuneUp απενεργοποίησε την ασφάλεια ιστού για εννέα εκατομμύρια χρήστες Chrome. Σε μια επιστολή προς την AVG έγραψε:

Ζητώ συγνώμη για τον σκληρό μου τόνο, αλλά δεν είμαι πραγματικά ενθουσιασμένος για την εγκατάσταση αυτού του κάδου για χρήστες του Chrome. Η επέκταση είναι τόσο άσχημα που δεν είμαι σίγουρος αν θα πρέπει να την αναφέρω ως ευπάθεια ή ζητώντας από την ομάδα κατάχρησης επέκτασης να διερευνήσει εάν είναι PuP.

Ωστόσο, η ανησυχία μου είναι ότι το λογισμικό ασφαλείας σας απενεργοποιεί την ασφάλεια ιστού για 9 εκατομμύρια χρήστες του Chrome, προφανώς έτσι ώστε να μπορείτε να εισβάλλετε στις ρυθμίσεις αναζήτησης και στη σελίδα της νέας καρτέλας.

Υπάρχουν πολλές προφανείς επιθέσεις, για παράδειγμα, εδώ είναι ένα ασήμαντο καθολικό xss στο API πλοήγησης που μπορεί να επιτρέψει σε οποιονδήποτε ιστότοπο να εκτελέσει σενάριο στο πλαίσιο οποιουδήποτε άλλου τομέα. Για παράδειγμα, το attacker.com μπορεί να διαβάσει email από το mail.google.com ή το corp.avg.com ή οτιδήποτε άλλο.

Βασικά, το AVG θέτει τους χρήστες του Chrome σε κίνδυνο μέσω της επέκτασής του, κάτι που υποτίθεται ότι θα έπρεπε να κάνει την περιήγηση στον ιστό πιο ασφαλή για τους χρήστες του Chrome

Η AVG απάντησε με επιδιόρθωση αρκετές ημέρες αργότερα, αλλά απορρίφθηκε καθώς δεν επιλύθηκε πλήρως το πρόβλημα. Η εταιρεία προσπάθησε να περιορίσει την έκθεση με την αποδοχή αιτημάτων μόνο εάν η προέλευση ταιριάζει με το avg.com.

Το πρόβλημα με την επιδιόρθωση ήταν ότι το AVG επαλήθευσε μόνο εάν το avg.com συμπεριλαμβανόταν στην προέλευση που οι εισβολείς θα μπορούσαν να εκμεταλλευτούν χρησιμοποιώντας υποτομείς που περιλάμβαναν τη συμβολοσειρά, π.χ. avg.com.www.example.com.

Η απάντηση της Google κατέστησε σαφές ότι διακυβεύονταν περισσότερα.

Ο προτεινόμενος κώδικας δεν απαιτεί ασφαλή προέλευση, αυτό σημαίνει ότι επιτρέπει πρωτόκολλα http: // ή https: // κατά τον έλεγχο του ονόματος κεντρικού υπολογιστή. Εξαιτίας αυτού, ένα άτομο δικτύου στη μέση μπορεί να ανακατευθύνει έναν χρήστη στο http://attack.avg.com και να παρέχει javascript που ανοίγει μια καρτέλα σε μια ασφαλή προέλευση https και έπειτα εισάγει κώδικα σε αυτήν. Αυτό σημαίνει ότι ένας άντρας στη μέση μπορεί να επιτεθεί σε ασφαλείς ιστότοπους https όπως GMail, Banking και ούτω καθεξής.

Για να είμαστε απολύτως σαφείς: αυτό σημαίνει ότι οι χρήστες AVG έχουν απενεργοποιήσει το SSL.

Η δεύτερη απόπειρα ενημέρωσης της AVG στις 21 Δεκεμβρίου έγινε αποδεκτή από την Google, αλλά η Google απενεργοποίησε τις ενσωματωμένες εγκαταστάσεις προς το παρόν, καθώς διερευνήθηκαν πιθανές παραβάσεις πολιτικής.

Κλείσιμο λέξεων

Η AVG έθεσε σε κίνδυνο εκατομμύρια χρήστες Chrome και απέτυχε να παραδώσει την κατάλληλη ενημέρωση την πρώτη φορά που δεν έλυσε το πρόβλημα. Αυτό είναι αρκετά προβληματικό για μια εταιρεία που προσπαθεί να προστατεύσει τους χρήστες από απειλές στο Διαδίκτυο και τοπικά.

Θα ήταν ενδιαφέρον να δούμε πόσο ωφέλιμο ή όχι, είναι όλες αυτές οι επεκτάσεις λογισμικού ασφαλείας που εγκαθίστανται παράλληλα με λογισμικό προστασίας από ιούς. Δεν θα εκπλαγώ αν τα αποτελέσματα επανέλθουν ότι κάνουν περισσότερο κακό παρά να χρησιμοποιήσουν τους χρήστες.

Τώρα εσύ : Ποια λύση προστασίας από ιούς χρησιμοποιείτε;